ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows Security Event Viewer displaying user account change audit logs in a professional monitoring environment
Event ID 4739InformationMicrosoft-Windows-Security-AuditingWindows

ID d'événement Windows 4739 – Microsoft-Windows-Security-Auditing : Compte utilisateur modifié

L'ID d'événement 4739 enregistre lorsqu'un compte utilisateur est modifié dans Active Directory ou la base de données de sécurité locale, capturant les modifications des propriétés du compte, des appartenances aux groupes et des paramètres de sécurité pour la conformité à l'audit.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 20269 min de lecture 0
Event ID 4739Microsoft-Windows-Security-Auditing 5 méthodes 9 min
Référence événement

Signification de cet événement

L'ID d'événement 4739 représente l'un des événements d'audit de sécurité les plus importants dans les environnements Windows. Généré par le fournisseur Microsoft-Windows-Security-Auditing, cet événement crée une piste d'audit détaillée chaque fois que les propriétés d'un compte utilisateur sont modifiées par n'importe quel mécanisme - Utilisateurs et ordinateurs Active Directory, cmdlets PowerShell, commandes NET ou API programmatiques.

La structure de l'événement inclut des métadonnées complètes : l'identifiant de sécurité (SID) du compte modifié et du compte effectuant la modification, les informations de l'horodatage, les détails du poste de travail, et surtout, une liste détaillée des attributs modifiés. Pour les environnements Active Directory, cela inclut les noms d'attributs LDAP et leurs valeurs avant/après lorsque cela est applicable.

Windows génère cet événement sur les contrôleurs de domaine pour les modifications de compte AD et sur les systèmes locaux pour les modifications de la base de données SAM. L'événement se déclenche uniquement après des modifications de compte réussies - les tentatives échouées génèrent des ID d'événement différents. Ce comportement garantit que le journal d'audit reflète les changements réels de l'état de sécurité plutôt que les tentatives de changement.

Dans les environnements 2026 avec des contrôleurs de domaine Windows Server 2025, l'ID d'événement 4739 inclut un suivi amélioré des attributs pour les scénarios hybrides cloud et une meilleure corrélation avec les événements de synchronisation Azure AD Connect. L'événement capture également les modifications effectuées via Windows Admin Center et les outils de gestion modernes.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur modifiant les propriétés du compte utilisateur via Utilisateurs et ordinateurs Active Directory
  • Cmdlets PowerShell comme Set-ADUser, Set-LocalUser modifiant les attributs de compte
  • Stratégie de groupe appliquant des modifications de stratégie de compte aux objets utilisateur
  • Systèmes de provisionnement automatisés mettant à jour les informations de compte utilisateur
  • Réinitialisations de mot de passe effectuées par le service d'assistance ou les portails en libre-service
  • Modifications des indicateurs de compte telles que l'activation/désactivation des comptes ou la définition du mot de passe n'expire jamais
  • Modifications de l'appartenance à un groupe ajoutant ou supprimant des utilisateurs des groupes de sécurité
  • Opérations d'importation d'utilisateurs en masse mettant à jour les propriétés de compte existantes
  • Solutions de gestion d'identité tierces synchronisant les modifications de compte
  • Exchange Server modifiant les attributs utilisateur activés pour la messagerie lors des opérations de boîte aux lettres
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Ouvrez Observateur d'événements et accédez à Journaux WindowsSécurité pour examiner les détails de l'ID d'événement 4739.

  1. Appuyez sur Windows + R, tapez eventvwr.msc, et appuyez sur Entrée
  2. Développez Journaux Windows et cliquez sur Sécurité
  3. Cliquez avec le bouton droit sur le journal Sécurité et sélectionnez Filtrer le journal actuel
  4. Entrez 4739 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur n'importe quelle entrée d'ID d'événement 4739 pour voir des informations détaillées
  6. Examinez l'onglet Général pour les noms de compte, les horodatages et les détails des modifications
  7. Vérifiez l'onglet Détails pour les données XML brutes incluant les modifications d'attributs spécifiques

Les champs clés à examiner incluent Sujet (qui a effectué la modification), Compte cible (compte modifié), et Attributs modifiés listant les propriétés spécifiques qui ont été altérées.

02

Interroger les événements avec PowerShell

Utilisez PowerShell pour filtrer et analyser les occurrences de l'ID d'événement 4739 avec des critères spécifiques.

# Obtenez les événements récents de changement de compte utilisateur
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739} -MaxEvents 50 | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message

# Filtrer les événements pour un compte utilisateur spécifique
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739}
$Events | Where-Object {$_.Message -like '*john.doe*'} | 
    Format-Table TimeCreated, Message -Wrap

# Exporter les événements vers un fichier CSV pour analyse
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739} -MaxEvents 1000 | 
    Select-Object TimeCreated, Id, LevelDisplayName, 
    @{Name='User';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Account Name:*'})[0]}}, 
    @{Name='Changes';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Changed Attributes:*'})[0]}} | 
    Export-Csv -Path "C:\Temp\UserAccountChanges.csv" -NoTypeInformation

Cette approche fournit un accès programmatique aux données d'événements pour une analyse et un reporting automatisés.

03

Configurer les politiques d'audit avancées

Assurez-vous de configurer correctement la politique d'audit pour capturer des événements complets de changement de compte utilisateur.

  1. Ouvrez Group Policy Management Console ou exécutez gpedit.msc pour la politique locale
  2. Accédez à Configuration de l'ordinateurParamètres WindowsParamètres de sécuritéConfiguration avancée de la politique d'audit
  3. Développez Gestion des comptes et double-cliquez sur Audit de la gestion des comptes utilisateur
  4. Activez Configurer les événements d'audit suivants et cochez à la fois Succès et Échec
  5. Appliquez la politique et exécutez gpupdate /force pour actualiser les paramètres
# Vérifiez les paramètres actuels de la politique d'audit
auditpol /get /subcategory:"User Account Management"

# Activez l'audit de la gestion des comptes utilisateur via la ligne de commande
auditpol /set /subcategory:"User Account Management" /success:enable /failure:enable

# Vérifiez l'efficacité de la politique d'audit
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739} -MaxEvents 1 | 
    Select-Object TimeCreated, Message

Une configuration d'audit appropriée garantit que toutes les modifications de compte utilisateur génèrent des entrées d'ID d'événement 4739 pour la conformité et la surveillance de la sécurité.

04

Analyser les changements d'attributs avec des scripts personnalisés

Créer des scripts PowerShell pour analyser et examiner les changements d'attributs spécifiques à partir des messages d'ID d'événement 4739.

# Fonction pour analyser les changements d'attributs de l'ID d'événement 4739
function Parse-UserAccountChanges {
    param([int]$Days = 7)
    
    $Events = Get-WinEvent -FilterHashtable @{
        LogName='Security'
        Id=4739
        StartTime=(Get-Date).AddDays(-$Days)
    }
    
    foreach ($Event in $Events) {
        $Message = $Event.Message
        $Lines = $Message -split '\r?\n'
        
        $AccountName = ($Lines | Where-Object {$_ -match 'Account Name:\s*(.+)'}) -replace '.*Account Name:\s*', ''
        $SubjectName = ($Lines | Where-Object {$_ -match 'Subject.*Account Name:\s*(.+)'}) -replace '.*Account Name:\s*', ''
        $ChangedAttribs = ($Lines | Where-Object {$_ -match 'Changed Attributes:'}) -replace '.*Changed Attributes:\s*', ''
        
        [PSCustomObject]@{
            TimeCreated = $Event.TimeCreated
            ModifiedAccount = $AccountName
            ModifiedBy = $SubjectName
            ChangedAttributes = $ChangedAttribs
            EventId = $Event.Id
        }
    }
}

# Exécuter l'analyse
$Changes = Parse-UserAccountChanges -Days 30
$Changes | Format-Table -AutoSize

# Grouper par compte modifié pour voir les motifs
$Changes | Group-Object ModifiedAccount | 
    Select-Object Name, Count, @{Name='LastChange';Expression={($_.Group | Sort-Object TimeCreated -Descending)[0].TimeCreated}}

Cette méthode offre des capacités d'analyse détaillées pour l'enquête judiciaire et le rapport de conformité.

05

Mettre en œuvre l'intégration SIEM et l'alerte

Configurer le transfert d'événements Windows et l'intégration SIEM pour la surveillance centralisée des modifications de comptes d'utilisateur.

  1. Configurer le transfert d'événements Windows sur les contrôleurs de domaine et les serveurs membres
  2. Créer un abonnement de transfert d'événements personnalisé pour l'ID d'événement 4739
  3. Configurer des règles d'analyse SIEM pour les événements de modification de comptes d'utilisateur
# Configurer WinRM pour le transfert d'événements (exécuter sur le serveur collecteur)
winrm quickconfig
wecutil qc

# Créer un fichier XML d'abonnement aux événements
$SubscriptionXML = @'
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>UserAccountChanges</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Transférer les événements de modification de comptes d'utilisateur</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    <ConfigurationMode>Normal</ConfigurationMode>
    <Query>
        <![CDATA[
        <QueryList>
            <Query Id="0">
                <Select Path="Security">*[System[EventID=4739]]</Select>
            </Query>
        </QueryList>
        ]]>
    </Query>
</Subscription>
'@

# Enregistrer et créer l'abonnement
$SubscriptionXML | Out-File -FilePath "C:\Temp\UserAccountChanges.xml"
wecutil cs "C:\Temp\UserAccountChanges.xml"

# Vérifier le statut de l'abonnement
wecutil gs UserAccountChanges

Les environnements d'entreprise devraient mettre en œuvre une journalisation centralisée avec des alertes automatisées pour les modifications suspectes de comptes d'utilisateur, en particulier les escalades de privilèges ou les modifications en masse.

Aperçu

L'ID d'événement 4739 se déclenche chaque fois qu'un compte utilisateur subit une modification dans le sous-système de sécurité Windows. Cela inclut les changements des propriétés du compte comme le nom d'affichage, la description, les politiques de mot de passe, les indicateurs de compte ou les appartenances à des groupes. L'événement capture à la fois les modifications des comptes de domaine Active Directory et les modifications des comptes utilisateurs locaux sur les systèmes autonomes.

Cet événement d'audit de sécurité est crucial pour les cadres de conformité comme SOX, HIPAA et PCI-DSS qui exigent un suivi détaillé des modifications des comptes utilisateurs. Les contrôleurs de domaine génèrent cet événement pour les modifications des utilisateurs AD, tandis que les serveurs membres et les stations de travail enregistrent les changements de comptes locaux. L'événement fournit des détails granulaires sur ce qui a changé, qui a effectué le changement et quand il s'est produit.

Les équipes de sécurité s'appuient sur l'ID d'événement 4739 pour détecter les modifications de compte non autorisées, les escalades de privilèges et les menaces internes. L'événement apparaît dans le journal de sécurité et nécessite une configuration de la politique d'audit pour être capturé correctement. Les solutions SIEM modernes analysent ces événements pour une alerte automatisée sur les changements de compte suspects.

Questions Fréquentes

Que signifie l'ID d'événement 4739 et quand se produit-il ?+
L'ID d'événement 4739 indique qu'un compte utilisateur a été modifié dans la base de données de sécurité Windows. Cet événement se déclenche chaque fois que les propriétés du compte changent, y compris le nom d'affichage, la description, les politiques de mot de passe, les indicateurs de compte (comme compte désactivé/activé), les appartenances à des groupes, ou tout autre attribut d'objet utilisateur. Il se produit sur les contrôleurs de domaine pour les modifications de compte Active Directory et sur les systèmes locaux pour les modifications de la base de données SAM. L'événement fournit des informations d'audit détaillées sur ce qui a changé, qui a effectué le changement, et quand il s'est produit, ce qui le rend essentiel pour la conformité en matière de sécurité et les enquêtes judiciaires.
Comment puis-je déterminer quels attributs spécifiques ont été modifiés dans l'ID d'événement 4739 ?+
Le message d'ID d'événement 4739 contient un champ 'Attributs modifiés' qui répertorie les propriétés spécifiques modifiées. Dans le Visualiseur d'événements, double-cliquez sur l'événement et examinez le message de l'onglet Général ou passez à l'onglet Détails pour le format XML. Pour les modifications d'Active Directory, vous verrez des noms d'attributs LDAP comme 'displayName', 'description', 'userAccountControl' ou 'memberOf'. Utilisez PowerShell pour analyser ces détails de manière programmatique : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739} | ForEach-Object {$_.Message -split '\n' | Where-Object {$_ -like '*Changed Attributes:*'}}. Certains attributs peuvent afficher des valeurs avant et après, tandis que d'autres indiquent seulement qu'un changement a eu lieu.
Pourquoi ne vois-je pas l'ID d'événement 4739 dans mon journal de sécurité ?+
L'ID d'événement 4739 nécessite une configuration appropriée de la stratégie d'audit pour apparaître dans le journal de sécurité. Vous devez activer 'Audit de la gestion des comptes d'utilisateur' sous Configuration avancée de la stratégie d'audit. Accédez à Stratégie de groupe → Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Gestion des comptes → Audit de la gestion des comptes d'utilisateur, et activez l'audit des réussites et des échecs. Après avoir appliqué la stratégie, exécutez 'gpupdate /force' et vérifiez avec 'auditpol /get /subcategory:"User Account Management"'. Si la stratégie est activée mais que les événements n'apparaissent toujours pas, vérifiez que des modifications de comptes d'utilisateur se produisent réellement et que le journal de sécurité n'est pas plein ou effacé automatiquement.
L'ID d'événement 4739 peut-il aider à détecter des escalades de privilèges non autorisées ?+
Oui, l'ID d'événement 4739 est crucial pour détecter les escalades de privilèges et les modifications non autorisées de comptes. Surveillez les changements d'attributs sensibles comme 'userAccountControl' (qui contrôle les indicateurs de compte), 'memberOf' (changements d'appartenance à des groupes) ou 'adminCount' (indique le statut de compte privilégié). Configurez des alertes pour les modifications de compte en dehors des heures de bureau, les changements en masse sur plusieurs comptes ou les modifications effectuées par des utilisateurs non administratifs. Portez une attention particulière aux comptes ajoutés à des groupes privilégiés comme Domain Admins, Enterprise Admins ou Administrateurs locaux. Utilisez des solutions SIEM pour corréler l'ID d'événement 4739 avec d'autres événements de sécurité comme les événements de connexion (4624) ou les événements d'utilisation de privilèges (4672) pour obtenir une vue complète des incidents de sécurité potentiels.
Comment puis-je exporter et analyser les données de l'ID d'événement 4739 pour les rapports de conformité ?+
Utilisez PowerShell pour exporter les données de l'ID d'événement 4739 au format CSV pour l'analyse de conformité. Exécutez : Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4739; StartTime=(Get-Date).AddDays(-30)} | Select-Object TimeCreated, @{Name='ModifiedAccount';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Target.*Account Name:*'})[0] -replace '.*Account Name:\s*', ''}}, @{Name='ModifiedBy';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Subject.*Account Name:*'})[0] -replace '.*Account Name:\s*', ''}}, @{Name='Changes';Expression={($_.Message -split '\n' | Where-Object {$_ -like '*Changed Attributes:*'})[0]}} | Export-Csv -Path 'UserAccountChanges.csv' -NoTypeInformation. Pour les environnements d'entreprise, implémentez le transfert d'événements Windows pour centraliser ces événements et utilisez des solutions SIEM pour des rapports de conformité automatisés avec des politiques de rétention appropriées.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security auditing events including Event ID 4739 and audit policy configuration requirements.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies for user account management and other security events.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#user-account-management#event-id-4739

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...